svohost.exe或sxs.exe杀毒方法

}I%Ch%b4tj O"J1O0作者：xmzhqw pcMing工作室*Pk c2_$g

1jeE7g:y0     前几天发现硬盘老是有个程序删不掉我就知道中毒了，把我的杀毒软件都关了,在重装根本就装不上,真是郁闷,就上网上查一下解决方法，整整用了四个小时才把病毒搞定。pcMing工作室8n B+u4nn!]r

      有史以来第一次遭遇如此顽固的病毒，网上找了找，没有统一的名字，瑞星称为 Trojan.PSW.QQPass.pqb 病毒，我就叫它pcMing工作室&KZ+T9V w7cy
      sxs.exe病毒吧pcMing工作室;i L1{u)RZ&[0}x
          重装系统后，双击分区盘又中了，郁闷，瑞星自动关闭无法打开，决定手动将其删除pcMing工作室Uv1@f9l1Gg
          现象：系统文件隐藏无法显示，双击盘符无反映，任务管理器发现 sxs.exe 或者 svohost.exe （与系统进程
3?D7N,Mi(V2T0      svchost.exe 一字之差），杀毒软件实时监控自动关闭并无法打开pcMing工作室G'X Th;?1Inr
         找了网上许多方法，无法有效删除，所谓的专杀工具根本对它没什么用。综合几个人的杀毒方法才把它彻底清除。现在把方法总结如下：pcMing工作室"L }u6n6l]0i
      在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开

      一、关闭病毒进程pcMing工作室(Z;|8LH J

      Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或pcMing工作室9j9[4or/d
nG8l
      SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉（我的电脑里出现的是SVCHOST）注意别搞错了。

      二、显示出被隐藏的系统文件pcMing工作室8\m&GB#U'K+i/Lg

)a-EIZ,|0      运行——regeditpcMing工作室8Y+t7cM/p's7F(uz
      HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1pcMing工作室\ y}b)q6[V/u
      这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病pcMing工作室'q8~:OZP1K

毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）
8@!a,V6V mv(?~J+|0      方法：删除此CheckedValue键值，单击右键
*M2k|pX0      新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
U8VvN9h9^)vt0      在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示pcMing工作室/Pa)rp _,gT

L/\:_yK:p0      三、删除病毒pcMing工作室*@@P5I8_ L{
ii

$V6O^3U^w0      在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。pcMing工作室_7O
Ox o0ah ju

      四、删除病毒的自动运行项

      打开注册表运行——regedit
[.a,aF0MZ0      HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>RunpcMing工作室$lTsk:@2Q)K*lc
      下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的pcMing工作室+_3d x"W5n7E0b-p-Y6A
      最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
4D+B i"Bg1XP y4e&y"z0      重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。pcMing工作室\TLja'eW_
      五、后续
$wl2Dlafy
m9vgV0      杀毒软件实时监控可以打开，但开机无法自动运行pcMing工作室c"i`*@c
`1t-f!c8C
      最简单的办法，执行杀毒软件的添加删除组件——修复，即可pcMing工作室wHVG`5Hha
      
KUEYD Q0      六、最新消息pcMing工作室k,H{b%]4V

h }$rQK$?#|\1n1H0      瑞星已出了专杀工具，不幸中此病毒的朋友可以去下面地址，下载“橙色八月专用提取清除工具”
`[H
v.Q;v+W!_\0E?(b0     http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml
;d v:~*wp^K"n
g0      引用
S+Vr]^"G3?M)|0      说明：pcMing工作室ZI'S$k'h#^/jl
      8月初出现了大量针对主流杀毒软件编写的恶性病毒。它们除了具有常见危害外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重

Pw6z
ZK#K%V0启、死机等状况。
)sp4EA,lT0      瑞星“橙色八月专用提取清除工具”专门针对此类病毒编写，可清除“QQ通行证（Trojan.PSW.QQPass）”、“传奇终结者（Trojan.PSW.Lmir）”、“密西木马pcMing工作室.Y.MF.s F2?^7Y4x

（Trojan.psw.misc）”等病毒及其变种。没有安装瑞星杀毒软件的用户可免费下载使用。
?3B$hCK-\*K0      注：建议您重新启动计算机，按住F8键，选择“安全模式”，进入后使用此工具杀毒。
8am L.qt2P0V6^0      附：病毒列表上的病毒主要针对以下安全软件pcMing工作室
NR;[%Dh;L |)@ ]!|
      卡巴斯基
0k)A Jr
C&B q]h0      Symantec AntiVirus
Wl]!|$uM@0      瑞星pcMing工作室.tAiO/nO"gs%}/q
      江民杀毒软件pcMing工作室?Idv;g'VuIH@x+b4_[
      天网防火墙个人版
U G0x*[QH(| G4N'E6~~0      噬菌体
*DqG1^bT \0      木马克星pcMing工作室};GJZ&`
      金山毒霸pcMing工作室8p(otj:k+M J_"V
      SVOHOST.EXE是什么进程pcMing工作室~_DK/M
      　　答案之一：“武汉男生变种MN(Trojan.QQMSG.WHboy.mn)”病毒:警惕程度★★★，木马病毒，通过网络传播，依赖系统:WIN9X/NT/2000/XP。pcMing工作室*s'X0i&Qa1rK
      病毒运行后将自身复制到Windows系统目录下，文件名为“svohost.exe”，同时修改注册表项目实现开机自动运行。病毒将IE的首页修改为“http://www.pcMing工作室F.yaGc
      ***iex.com”，使用户每次打开IE都会浏览该病毒网站。pcMing工作室o)\g;S!w+S$SiC
      　　答案之二：pcMing工作室9r5k$[7B%w
      windows下面的木马病毒。会自动关闭系统里的杀毒软件及注册表，任务管理器等窗体！病毒还会修改IE的主页，自动从网络上下载病毒并运行！
K X;}x1Y,@*c2V0      删除方法：pcMing工作室4G)O%T
a:`wB
      1）运行DOS命令行（开始--运行--输入CMD--回车），在提示符下输入tasklist 。应该会发现你说的svochost.exe这个进程。
@1k(N`oL8i0      2）taskkill /f /im svochost.exe 关闭进程。

SqKq[ \IO(WF0      3）搜索系统里的svochost.exe文件（包括隐藏文件和系统文件）还有lsasa.exe这个也要删除。pcMing工作室P7xd8zJGnd*R
      4）运行相关杀毒软件杀毒！pcMing工作室:~ aQ!i&y2x*DC+N
      5）即使病毒删除后，还会有一些负面影响，比如txt,exe文件的关联被修改..===pcMing工作室 `+xhLn#cN5m5|
      SVOHOST的解决方法！pcMing工作室4c1geUf!g

      我电脑最近开机就出现SVOHOST这个进程（任务管理器中）。点击结束进程就行。但每次都出现。用超级兔子木马专杀试了下，不管用，安全状态下也不管用。我的卡巴斯基pcMing工作室&xp;uU6ksG%e

n1W&Z4J:mVO7~0根本检查不出来，怎么办呢？pcMing工作室!x;d)|;z{
H6b^8Dd
      各位大侠帮帮忙。谢谢！pcMing工作室U rp L!r
      svohost.exe是Trojan-Proxy.Win32.Agent.if木马相关程序，建议立即删除。

.V*Oi7G.| o0      病毒运行后会将自身复制到系统目录下，文件名为“SVOHOST.exe”和“hsoft.exe”。同时在注册表中添加Run/SoundMam信息，实现开机自动运行或打开文本文件时自动运pcMing工作室mTZ5D~0Umx

行。该病毒会自动向QQ好友发送内容为“让我成功申请x位QQ号和Q币动画,朋友推荐我的,你看看http:
MA9Q*{i*DP)y%|0      //www.***iex.com/abc.exe”等的消息，用户点击消息中的网址就有可能被病毒感染。

      同时还有以下症状：
?Fx9WT6_0      1、卡巴司机无法启动（后来知道是系统服务被禁用了）。
&{(V4D/qGQD E0      2、无法察看隐藏文件（修改注册表）pcMing工作室|#}vp\
      3、病毒文件在system32文件夹找不到。。pcMing工作室5T
m}*sO
      4、在启动项里面有个svohost.exe,改启动项之后发现还是会被自动添加。。。。pcMing工作室'[!PuT tdw0h

8Qr;@?KFH^&f {,k0      估计病毒文件是隐藏的。。pcMing工作室+to5k| b
      后来我再来补另一位朋友的解决心得吧：

7sa o ]3AC9L0      病毒的删除
L L2p:KF*@#k~m0      　1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)

imRX?cwx0_B0      2.关了他.输入命令taskkill /f /im svohost.exepcMing工作室%f'_/O?/z KE
      提示成功.
O4gE"l
ef%B*Ue0^0      3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫lsasa.exe的也得删除.他模仿pcMing工作室`+T@+qF

的是WINDOWS的正常进程lsass.exe.操作到这里大家应该可以打开注册表pcMing工作室nK6O&^v
      任务管理器了但是得恢复TXT文件关联和恢复EXE文件关联pcMing工作室pI.VF%B yR

      备注 部分会员出现结束进程后病毒 暂时失效 但是重起后死灰复燃 请注意在造作成功后 马上利用自己的杀毒工具 或者 QQ专杀进行杀毒
'e1y+tL7O+S6o0      因为这个时候病毒的壳被去掉了 我们可以抓住这个时机做下杀毒
I0_0OF s;sZh0      4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为"不显示隐藏文件"，这么做的主要目的在于让你在WINDOWS环境pcMing工作室O _%oJ[

/~y0^Q+zZ`q0下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.pcMing工作室B9U"uFZv!Rv

      1.用WINDOWS的搜索.只要在高级选项里把"搜索隐藏的文件和文件夹"勾上就可以找到了.pcMing工作室vGJ]/V)`5w'c
      2.在命令提示符里用dirpcMing工作室(m!]$G P X m
      /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a
n@7`flp3n.i0      /p这样会更好.pcMing工作室:p w`0h*lo

t+z VyN]0      我们到注册表里去把他改回正常状态.
8ta0R~]/`:^!Iq0a@9a0      打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意

`-X6f!c!j0到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.
\ Pgi9r!hRtf0      改了注册表，显示了隐藏文件把svohost删了好像就没有事了
*pKOW v0T0      1、首先打开任务管理器，结束SVOHOST.EXE的进程。
%mAplDoy"N&L0      2、我的电脑，工具>>文件加选项>>查看>>把“隐藏受保护的操作系统文件（推荐）”之前的钩钩取掉。
([%bh4q)yR T0      3、右击C盘（假设windows系统安装在C盘）>>打开，然后到C:\WINDOWS\system32\下找到SVOHOST.EXE删除掉。这里不能用搜索的，因为搜索不到的。
zC%r)k-Rc {0      4、开始>>运行msconfig>>启动>>把SVOHOST.EXE的启动项取消pcMing工作室Y;}7@$j4iA;n){
      5、开始>>运行cmd>>用dir /a的命令检查所有盘符下有没有sxs.exe和autorun.inf两个文件，有的话，用下面的方法全部删除：pcMing工作室0GSF!NQ9k'JL&H
          取消这两个文件的隐藏属性pcMing工作室;q!F}&W'I]A,v
              输入attrib -a -s -h -r sxs.exe命令执行
F9mr2j&~2Cm^0              再输入attrib -a -s -h -r autorun.inf命令执行
o9v,w6j-M(l}NXT7a7M0          把这两个文件分别删除  pcMing工作室p1vbu f g
              输入del sxs.exe和del autorun.infpcMing工作室B.F%mZ og^Kon

!i,\;K~h6v0      6、最后一步，开始>>运行regedit>>找到注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2目录下的{e94c3812-d758-11da

*{+ma`[5uemy,G0-8647-806d6172696f}、{e94c3813-d758-11da-8647-806d6172696f}等的表信息，删除即可pcMing工作室AH-Zr2daT

【已经有219人表态】

31票 感动

30票 路过

24票 高兴

31票 难过

29票 搞笑

21票 愤怒

23票 无聊

30票 同情

• [感动最多的] Epson爱普生LQ-635K针式打印机无法识别、打 
• [路过最多的] 解决无线网卡配置信息无法保存问题 
• [高兴最多的] Epson爱普生LQ-635K针式打印机无法识别、打 
• [难过最多的] 解决下载提示“下载到该存储路径需要系统管 
• [搞笑最多的] Epson爱普生LQ-635K针式打印机无法识别、打 
• [愤怒最多的] word文档去除页眉分割线技巧
• [无聊最多的] 解决无线网卡配置信息无法保存问题 
• [同情最多的] word文档去除页眉分割线技巧